Zusammenfassung der Projektergebnisse

Die Erkennung von Angriffen in großen administrative Netzdomänen, z. B. ein aus mehreren Subnetzen bestehendes Unternehmensnetz, erfolgt heute in der Regel zentral durch Analyse des Datenverkehrs am Uplink zum Internet. Dies ermöglicht die Erkennung von Angriffen aus dem Internet, hat aber auch erhebliche Nachteile. Insider-Angriffe können nicht erkannt werden, unabhängig davon, ob sie absichtlich initiiert oder durch kompromittierte (private) Geräte ausgelöst werden. Eine netzweite verteilte Überwachung wäre eine sinnvolle Alternative zu den etablierten Verfahren, steht aber vor einer Reihe von noch ungelösten Problemen: Die Datenraten in den Subnetzen sind sporadisch sehr hoch und oft stark schwankend (z.B. Lastspitzen von bis zu 10 Gbit/s); hohe Datenraten in Verbindung mit den für die Überwachung typischerweise verwendeten Standardkonfigurationen implizieren in der Regel hohe Fehlalarmquoten; der Datenverkehr ist zunehmend verschlüsselt und entzieht sich traditionellen Analysemethoden; und der verstärkte Einsatz von Virtualisierungstechnologien, wie z.B. virtuelle Maschinen und Netzwerke, schafft Bereiche, die für Überwachungsmaßnahmen unzugänglich sind. Im Rahmen des PANDA-Forschungsprojekts untersuchten wir Methoden zur komplementären Nutzung von Flow- Aggregation und DPI. Schwerpunkte der Untersuchungen waren eine signifikante Reduktion des zu analysierenden Datenvolumens am Netzwerksensor, die Prüfung der Alarmrelevanz, die Überwachung von Datenströmen auch in virtuellen Umgebungen, Analysen des kryptographischen Datenverkehrs zum Rückschluss auf unterstützte Anwendungen und eingesetzte Protokolle sowie Methoden zur kooperativen Analyse innerhalb des Verwaltungsbereichs. Dazu haben wir neuartige Techniken entwickelt, um die Verarbeitung von HTTP-Flows am IDS zu beschleunigen sowie IDS-Aufgaben auf mehrere Sensoren zu verteilen und damit zu parallelisieren. Dabei konzentrierten wir uns insbesondere auf die Frage, ob entweder IDS-Regeln oder Verkehrsströme oder beides verteilt werden sollen. Wir haben uns auch mit dem Problem des verschlüsselten Datenverkehrs beschäftigt. In einem ersten Schritt haben wir Techniken zur Erkennung von verschlüsseltem Datenverkehr untersucht. Unsere Lösung ermöglicht es, diesen Schritt mit einer sehr hohen Präzision und auch mit hoher Verarbeitungsgeschwindigkeit durchzuführen. Auf lebenslangem Lernen basierende KI-Lösungen wurden entwickelt, um mit sich ständig ändernden Angriffsmustern und schließlich auch mit verschlüsselten Angriffen fertig zu werden. In einer noch laufenden Arbeit untersuchen wir die Verteilung von Überwachungssensoren innerhalb einer Verwaltungsdomäne.

Projektbezogene Publikationen (Auswahl)

• Encrypted Traffic Detection: Beyond the Port Number Era. 2022 IEEE 47th Conference on Local Computer Networks (LCN) (2022, 9, 26), 198-204. American Geophysical Union (AGU).
  Doroud, Hossein; Alaswad, Ahmad & Dressler, Falko
  
• On High-Speed Flow-Based Intrusion Detection Using Snort-Compatible Signatures. IEEE Transactions on Dependable and Secure Computing, 19(1), 495-506.
  Erlacher, Felix & Dressler, Falko